基于時(shí)頻特征檢測(cè)的網(wǎng)絡(luò)入侵信號(hào)盲源分離算法

文政穎，王佳欣

(河南工程學(xué)院 計(jì)算機(jī)學(xué)院，河南 鄭州451191)

隨著計(jì)算機(jī)技術(shù)與信息技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)數(shù)據(jù)的安全問(wèn)題逐漸突出.網(wǎng)絡(luò)安全關(guān)系到人們生產(chǎn)生活的各個(gè)方面，需要一種有效的入侵檢測(cè)和過(guò)濾分離方法，以實(shí)現(xiàn)對(duì)入侵信號(hào)的攔截［1］.傳統(tǒng)方法中對(duì)網(wǎng)絡(luò)入侵的檢測(cè)和分離算法主要有基于統(tǒng)計(jì)信號(hào)處理的網(wǎng)絡(luò)入侵檢測(cè)算法、基于時(shí)頻特征提取的入侵信號(hào)檢測(cè)算法、基于灰階向量鏈路信息映射的漏洞檢測(cè)與入侵分離算法和基于攻擊目標(biāo)方位參數(shù)估計(jì)的入侵檢測(cè)算法等［2-6］.隨著現(xiàn)代信號(hào)處理技術(shù)的發(fā)展，基于現(xiàn)代統(tǒng)計(jì)信號(hào)處理的網(wǎng)絡(luò)入侵信號(hào)盲源分離算法有很好的應(yīng)用前景，相關(guān)算法的研究受到了廣大學(xué)者和專家的重視.文獻(xiàn)［7］提出了一種基于嚴(yán)平穩(wěn)離散濾波的入侵檢測(cè)算法，設(shè)計(jì)連續(xù)不變線性系統(tǒng)進(jìn)行入侵信號(hào)濾波，實(shí)現(xiàn)網(wǎng)絡(luò)入侵信號(hào)的盲分離，但算法不能有效保證入侵特征檢測(cè)的收斂性，可能導(dǎo)致漏檢.文獻(xiàn)［8］提出了一種基于鏈路信息流自相關(guān)波束形成算法實(shí)現(xiàn)入侵信號(hào)的盲分離，但算法的病毒檢測(cè)和入侵干擾分離效果不好［9］.

針對(duì)上述問(wèn)題，提出了一種基于時(shí)頻分析和干擾濾波匹配的網(wǎng)絡(luò)入侵信號(hào)盲源分離算法.首先，構(gòu)建網(wǎng)絡(luò)入侵信號(hào)時(shí)頻分析處理模型，提取入侵信號(hào)的時(shí)頻特征，設(shè)計(jì)盲分離濾波器實(shí)現(xiàn)對(duì)入侵信號(hào)的檢測(cè)濾波，基于時(shí)頻特征檢測(cè)方法實(shí)現(xiàn)了網(wǎng)絡(luò)入侵信號(hào)盲源分離算法的改進(jìn)，然后進(jìn)行仿真實(shí)驗(yàn)，驗(yàn)證了該算法的優(yōu)越性能.

1 網(wǎng)絡(luò)入侵信號(hào)模型的構(gòu)建及時(shí)頻分析處理

1.1 網(wǎng)絡(luò)入侵信號(hào)模型的構(gòu)建

為了實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)入侵的盲源分離，第一步是構(gòu)建信號(hào)模型，采用信號(hào)處理方法進(jìn)行入侵信號(hào)檢測(cè).設(shè)有M個(gè)全方向性入侵的信號(hào)、一個(gè)期望信號(hào)Ac和P個(gè)干擾信號(hào)，并以θ0，θ1，…，θp的角度輸入網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中，構(gòu)建列向量為Z的極大線性無(wú)關(guān)組構(gòu)成的矩陣，即秩為n+t的矩陣Zm，得到網(wǎng)絡(luò)入侵模型的狀態(tài)轉(zhuǎn)移方程為

式中，s(n)表示入侵信號(hào)，v(n)表示色噪聲分量.對(duì)入侵信號(hào)進(jìn)行時(shí)頻分析，通過(guò)提取其特征量得到表征信號(hào)本質(zhì)內(nèi)部的特征以區(qū)分干擾信號(hào).通過(guò)傅里葉變換，信號(hào)從時(shí)域向頻域過(guò)渡，由頻域向時(shí)域的變換為傅里葉反變換，其表達(dá)式為

假設(shè)給定的一個(gè)二進(jìn)制網(wǎng)絡(luò)入侵狀態(tài)特征向量集合表示為

計(jì)算入侵信號(hào)的自適應(yīng)功率譜密度特征，得到網(wǎng)絡(luò)病毒發(fā)生變異后的信息容量估計(jì)結(jié)果:

式中，a(θi)表示鏈路層的特征值，si(t)表示信號(hào)分量特征，n(t)表示噪聲信號(hào).取入侵信號(hào)演化狀態(tài)相空間中Xm為中心點(diǎn)，其最近鄰點(diǎn)為Xk，得到多路復(fù)用波束域約束指向形成輸出結(jié)果.假設(shè)病毒感染的相頻特征矩陣為L(zhǎng)，奇異值分解L=U*S*C，U和C是正交矩陣，而

式中，S為L(zhǎng)的奇異值，且

網(wǎng)絡(luò)入侵信號(hào)的檢測(cè)過(guò)程是一個(gè)迭代過(guò)程，由于病毒隱匿于非線性特征環(huán)境中，假設(shè)捕獲數(shù)據(jù)的期望信號(hào)Ac和P個(gè)干擾信號(hào)以θ0，θ1，…，θp的角度輸入防火墻檢測(cè)系統(tǒng)中，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的穩(wěn)定性控制，得到入侵信號(hào)解析模型:

式中，z(t)表示捕獲數(shù)據(jù)，x(t)表示入侵信號(hào)的實(shí)部特征分量，θ(t)表示高頻分量.在時(shí)頻域中，假設(shè)信號(hào)s(t)為一個(gè)連續(xù)的信號(hào)，其時(shí)頻分布的定義可以描述為

由此，得到了網(wǎng)絡(luò)入侵信號(hào)模型，為網(wǎng)絡(luò)入侵檢測(cè)和盲源分離提供了信號(hào)模型基礎(chǔ).

圖1 網(wǎng)絡(luò)入侵信號(hào)的近場(chǎng)源均勻線陣Fig.1 Time frequency detection signal of near-field source localization uniform linear array

1.2 信號(hào)時(shí)頻分析及問(wèn)題的提出

本研究采用時(shí)頻分析和干擾濾波匹配的方法實(shí)現(xiàn)振蕩入侵?jǐn)?shù)據(jù)的信號(hào)檢測(cè)，對(duì)原始攻擊信號(hào)模型采用雙線性本征波變換，構(gòu)建網(wǎng)絡(luò)入侵信號(hào)的近場(chǎng)源均勻線陣，如圖1所示.

采用時(shí)頻分析方法構(gòu)建網(wǎng)絡(luò)入侵信號(hào)的約束指向性特征，得到振蕩數(shù)據(jù)的瞬時(shí)頻率的估計(jì)為

使用WVD時(shí)頻分布結(jié)合Hough變換進(jìn)行時(shí)頻分析，提取信號(hào)的特征并對(duì)信號(hào)進(jìn)行濾波分析，在時(shí)頻域中，網(wǎng)絡(luò)入侵特征目標(biāo)函數(shù)通過(guò)合同矩陣產(chǎn)生，表示為

進(jìn)而得到波束域約束指向性特征:

由于受到攻擊的網(wǎng)絡(luò)的瞬時(shí)頻率是時(shí)變的，所以應(yīng)該存在與瞬時(shí)頻率相對(duì)應(yīng)的瞬時(shí)譜.采用時(shí)頻分析Viterbi算法，得到受攻擊的網(wǎng)絡(luò)病毒的連續(xù)攻擊信號(hào)譜的平均頻率等于瞬時(shí)頻率的平均時(shí)間，即

從而，得到該瞬時(shí)譜的平均頻率即為瞬時(shí)頻率，瞬時(shí)頻率為解析信號(hào)的相位的導(dǎo)數(shù).通過(guò)上述處理，網(wǎng)絡(luò)入侵信號(hào)從時(shí)域向頻域變換，從而更好地表征信號(hào)內(nèi)部的特征，為網(wǎng)絡(luò)入侵信號(hào)的盲源分離提供準(zhǔn)確的數(shù)據(jù)基礎(chǔ).

2 入侵信號(hào)盲源分離算法的改進(jìn)

2.1 時(shí)頻特征檢測(cè)算法

網(wǎng)絡(luò)入侵信號(hào)是一種非平穩(wěn)隨機(jī)信號(hào)，傳統(tǒng)的檢測(cè)算法難以有效提取信號(hào)的沖激響應(yīng)特征，盲分離性能不好.本研究提出了一種基于時(shí)頻分析和干擾濾波匹配的網(wǎng)絡(luò)入侵信號(hào)盲源分離算法，采用時(shí)頻特征檢測(cè)方法進(jìn)行入侵信號(hào)的檢測(cè)和分離，提取的時(shí)頻特征主要是三階、四階統(tǒng)計(jì)量與高階譜特征，計(jì)算表達(dá)式分別為

其中，x(t)是網(wǎng)絡(luò)入侵信號(hào)，Ex是信號(hào)能量，v是頻率散布值.假設(shè)入侵病毒傳播所需的時(shí)間為tvirus，則病毒成功傳播的概率為連接建立的時(shí)間tvirus或者更長(zhǎng)的概率:

在未知混合參數(shù)的情況下，假設(shè)時(shí)間間隔為n∈［n1，n2］，假設(shè)兩點(diǎn)為n1和n2，定義n1和n2之間的距離屬于K，網(wǎng)絡(luò)入侵信號(hào)頻率的點(diǎn)數(shù)的方位估計(jì)值為

通過(guò)上述時(shí)頻分析，得到網(wǎng)絡(luò)入侵信號(hào)的時(shí)頻檢測(cè)模型，如圖2所示.根據(jù)檢測(cè)模型進(jìn)行網(wǎng)絡(luò)入侵信號(hào)的盲分離，可實(shí)現(xiàn)信號(hào)特征的提取與入侵特征的檢測(cè).

圖2 網(wǎng)絡(luò)入侵信號(hào)的時(shí)頻檢測(cè)模型Fig.2 Time frequency detection model of network intrusion signal

2.2 網(wǎng)絡(luò)入侵信號(hào)盲源分離算法的實(shí)現(xiàn)

在上述時(shí)頻特征檢測(cè)和提取的基礎(chǔ)上，通過(guò)傅里葉變換使信號(hào)從時(shí)域向頻域過(guò)渡，把Es分成4個(gè)P×L的矩陣E0，Ex，Ey，Ez進(jìn)行盲源分離，即Es=［e1，e2，…，eL］=［E0，Ex，Ey，Ez］H.由上式得

通過(guò)由頻域向時(shí)域的變換得到信號(hào)子空間，所以待估計(jì)入侵信號(hào)的空間狀態(tài)指向性波束為ExT=E0TΛ，EyT=E0TΩ，EzT=E0TΦ.令Γ=TΛT-1，Ψ=TΩT-1，Υ=TΦT-1，那么入侵信號(hào)頻譜畸變部分的共軛對(duì)稱頻譜估計(jì)結(jié)果為

式中，Γ，Ψ，Υ的特征值分別為對(duì)角矩陣Λ，Ω，Φ的入侵相位.為了能有效地對(duì)信號(hào)進(jìn)行時(shí)頻分析、估計(jì)瞬時(shí)頻率，得到入侵信號(hào)的盲源參數(shù)為

通過(guò)上述算法，實(shí)現(xiàn)了基于時(shí)頻特征檢測(cè)的網(wǎng)絡(luò)入侵信號(hào)的盲源分離.

3 仿真實(shí)驗(yàn)與結(jié)果分析

為了測(cè)試本算法的性能，基于Matlab平臺(tái)進(jìn)行仿真實(shí)驗(yàn)，其中計(jì)算機(jī)硬件環(huán)境為Intel Core3-530 1 G內(nèi)存，操作系統(tǒng)為Windows 7，網(wǎng)絡(luò)入侵信號(hào)來(lái)自于KDD Cup2013網(wǎng)絡(luò)病毒數(shù)據(jù)庫(kù).仿真參數(shù)設(shè)定為歸一化初始頻率f1=0.3，歸一化終止頻率f2=0.05，在信噪比分別為SNR=-5 dB和SNR=-8 dB的條件下，中心頻率測(cè)試為f0=1 000 Hz，離散采樣率為fs=10 kHz，帶寬B=1 000 Hz，進(jìn)行入侵信號(hào)檢測(cè)仿真.首先，進(jìn)行信號(hào)模型的構(gòu)建，得到網(wǎng)絡(luò)入侵信號(hào)的時(shí)域波形，如圖3所示.

圖3 信號(hào)時(shí)域波形Fig.3 Signal time domain waveform

由圖3可見(jiàn)，原始的網(wǎng)絡(luò)入侵信號(hào)被淹沒(méi)在噪聲干擾中，難以實(shí)現(xiàn)有效的分離和檢測(cè)，需要進(jìn)行信號(hào)檢測(cè)設(shè)計(jì).采用本研究設(shè)計(jì)的時(shí)頻特征檢測(cè)方法提取信號(hào)的時(shí)頻特征，實(shí)現(xiàn)信號(hào)的盲源分離，得到了檢測(cè)頻譜圖，如圖4所示.同時(shí)，為了對(duì)比算法的性能，采用傳統(tǒng)的統(tǒng)計(jì)信號(hào)特征檢測(cè)方法進(jìn)行對(duì)比，得到的仿真結(jié)果如圖5所示.

圖4 本方法的仿真結(jié)果Fig.4 Simulation result ofmethod in this essay

圖5 傳統(tǒng)方法的檢測(cè)結(jié)果Fig.5 Detection result of traditionalmethod

上述結(jié)果對(duì)比可見(jiàn)，采用本算法能有效地實(shí)現(xiàn)對(duì)入侵信號(hào)的特征檢測(cè)，頻譜能量聚集成分明顯，時(shí)頻聚集性很高，而傳統(tǒng)方法有較多的偽峰存在，對(duì)網(wǎng)絡(luò)入侵信號(hào)的檢測(cè)和盲源分離效果不佳，容易導(dǎo)致誤分和漏檢.為了對(duì)比算法性能，采用本算法和傳統(tǒng)方法在不同信噪比條件下對(duì)入侵信號(hào)的盲分離檢測(cè)概率進(jìn)行測(cè)試分析，采用2 000次蒙特卡洛實(shí)驗(yàn)，得到檢測(cè)概率曲線的對(duì)比結(jié)果，如圖6所示.

圖6 性能對(duì)比Fig.6 Performance comparison

分析上述結(jié)果可知，采用本方法進(jìn)行網(wǎng)絡(luò)入侵信號(hào)的盲源分離，具有較高的攔截和檢測(cè)概率，準(zhǔn)確檢測(cè)概率提高顯著，展示了較好的性能.

4 結(jié)語(yǔ)

提出了一種基于時(shí)頻分析和干擾濾波匹配的網(wǎng)絡(luò)入侵信號(hào)盲源分離算法，采用時(shí)頻特征檢測(cè)方法進(jìn)行信號(hào)的盲源分離處理.仿真結(jié)果表明，采用本方法能有效提高對(duì)入侵信號(hào)檢測(cè)的性能，實(shí)現(xiàn)對(duì)入侵信號(hào)的盲源分離和準(zhǔn)確攔截，保證了網(wǎng)絡(luò)安全.

［1］張永錚，肖軍，云曉春，等.DDoS攻擊檢測(cè)和控制［J］.軟件學(xué)報(bào)，2012，23(8):2258-2072.

［2］夏秦，王志文，盧柯.入侵檢測(cè)系統(tǒng)利用信息熵檢測(cè)網(wǎng)絡(luò)攻擊的方法［J］.西安交通大學(xué)學(xué)報(bào):自然科學(xué)版，2013，47(2):14-19.

［3］吳春瓊.基于特征選擇的網(wǎng)絡(luò)入侵檢測(cè)模型［J］.計(jì)算機(jī)仿真，2012，29(6):136-139.

［4］王睿.一種基于回溯的Web上應(yīng)用層DDoS檢測(cè)防范機(jī)制［J］.計(jì)算機(jī)科學(xué)，2013，40(11A):175-177.

［5］周華，周海軍，馬建鋒.基于博弈論的入侵容忍系統(tǒng)安全性分析模型［J］.電子與信息學(xué)報(bào)，2013，35(8):1933-1939.

［6］梁力.一種網(wǎng)絡(luò)多次變異信息入侵檢測(cè)算法［J］.科技通報(bào)，2012，10(28):55-57.

［7］張宗飛.基于量子進(jìn)化算法的網(wǎng)絡(luò)入侵檢測(cè)特征選擇［J］.計(jì)算機(jī)應(yīng)用，2013，33(5):1357-1361.

［8］張輝.自體集網(wǎng)絡(luò)入侵檢測(cè)中的高效尋優(yōu)算法仿真［J］.計(jì)算機(jī)仿真，2013，30(8):297-300.

［9］林冬茂，薛德黔.一種基于無(wú)監(jiān)督免疫優(yōu)化分層的網(wǎng)絡(luò)入侵檢測(cè)算法［J］.計(jì)算機(jī)科學(xué)，2013，40(3):180-182.